Recursos afectados:
- coTURN versiones 4.5.0.9 y anteriores.
Detalle de
vulnerabilidades
Un atacante podría acceder al portal de administración
del servidor mediante una inyección SQL con un nombre de usuario especialmente
diseñado en la web de acceso de coTURN. Se ha asignado el identificador
CVE-2018-4056 para esta vulnerabilidad de severidad crítica.
Una configuración por defecto insegura en el servidor
coTURN, podría permitir a un atacante emplear una cuenta de administración
telnet que se encuentra sin credenciales para acceder al servidor con permisos
de administrador. Se ha asignado el identificador CVE-2017-4059 para esta
vulnerabilidad de severidad media.
A la vulnerabilidad que no ha sido publicada aún, se le
ha reservado el identificador CVE-2018-4058.
Recomendación
Actualizar a la versión 4.5.1.0.
Más información
- Vulnerability
Spotlight: Multiple vulnerabilities in coTURN https://blog.talosintelligence.com/2019/01/vulnerability-spotlight-multiple.html
Fuente: INCIBE